未经授权通过WakaTime私有排行榜泄露私密邮箱 | HackerOne报告 #3279508

摘要

WakaTime允许用户创建私有排行榜并邀请他人加入。然而，一旦用户接受邀请加入排行榜，其私密邮箱地址将对排行榜创建者或其他成员可见，即使用户未选择公开邮箱。这绕过了预期的隐私控制，可能被利用来收集不知情WakaTime用户的邮箱。

复现步骤

1. 登录WakaTime.com并创建新的私有排行榜。
2. 使用WakaTime用户名或公开个人资料链接邀请其他用户加入排行榜。
3. 被邀请用户接受邀请并加入排行榜。
4. 加入后，访问排行榜页面，观察其中包含他们的邮箱，尽管他们已设置为私密。

观察结果

您可以在排行榜数据或用户界面中查看被邀请用户的邮箱地址，即使他们的邮箱在设置中从未公开。

影响

• 违反用户隐私期望和配置。
• 可用于邮箱收集或定向网络钓鱼。
• 利用门槛低：任何拥有账户的用户都可以创建排行榜并诱使他人加入。
• 由于未经同意暴露个人可识别信息（PII），存在GDPR/CCPA风险。

预期行为

用户的邮箱地址必须保持隐藏，除非他们明确选择公开显示。排行榜应仅显示公开数据，而非私密或敏感标识符（如邮箱地址）。

建议

• 确保私有字段（如邮箱）从不包含在排行榜相关响应中，除非用户选择显示它们。
• 在向客户端返回排行榜成员数据之前执行隐私过滤。
• 在加入排行榜时添加关于哪些信息将对其他成员可见的通知或确认提示。

时间线

• 5天前：ctrl_cipher向WakaTime提交报告。
• 4天前：WakaTime员工alanhamlett将严重性从严重（9.4）更新为中等（4.3），并关闭报告，状态改为已解决。
• 4天前：ctrl_cipher确认修复有效。
• 3天前：报告被同意并公开披露。

报告详情

• 报告日期：2025年7月31日，UTC下午2:04
• 报告者：ctrl_cipher
• 报告对象：WakaTime
• 状态：已解决
• 严重性：中等（4.3）
• 披露日期：2025年8月3日，UTC上午3:23
• 弱点：信息泄露
• CVE ID：无
• 赏金：隐藏

注意：WakaTime已修复此问题，排行榜管理员无法再查看成员邮箱。